Como saber se uma porta está inesperadamente aberta ou bloqueada?

Uma porta é problemática quando está em um estado inesperado. Uma porta inesperadamente aberta pode indicar um serviço mal configurado, um processo não autorizado ou um host comprometido. Uma porta inesperadamente fechada ou filtrada em um serviço necessário significa que o tráfego está sendo bloqueado. A distinção chave é entre fechada e filtrada: uma porta fechada envia uma resposta TCP RST, significando que o host é alcançável mas o serviço não está em execução. Uma porta filtrada não retorna nada, significando que um firewall está bloqueando o acesso antes do host poder responder.

TCP (Transmission Control Protocol) é baseado em conexão e garante entrega confiável e ordenada através de um handshake de três vias (SYN, SYN-ACK, ACK). As portas TCP comuns incluem 22 (SSH), 25 (SMTP), 80 (HTTP), 443 (HTTPS) e 3306 (MySQL). UDP (User Datagram Protocol) é sem conexão e envia pacotes sem confirmar a entrega, o que reduz a latência. As portas UDP comuns incluem 53 (consultas DNS), 67 e 68 (DHCP), 123 (NTP) e portas de servidor de jogos como 27015 (Counter-Strike). A maioria dos verificadores de porta, incluindo o nosso, testa a conectividade TCP.

Quais portas os ISPs comumente bloqueiam?

A maioria dos ISPs residenciais bloqueiam conexões de entrada na porta 25 (SMTP), porta 80 (HTTP), porta 443 (HTTPS) e porta 8080 para impedir que clientes executem servidores voltados para o público em conexões de consumidor. A porta 25 é quase universalmente bloqueada em IPs residenciais para reduzir a origem de spam. Alguns ISPs também bloqueiam a porta 22 (SSH) de entrada. Planos de IP estático ou de nível comercial geralmente permitem essas portas.

O que é redirecionamento de porta e como funciona?

Redirecionamento de porta é uma regra NAT (Network Address Translation) configurada em um roteador que redireciona o tráfego de entrada chegando em uma porta externa específica para um endereço IP privado e porta dentro da rede local. Quando um pacote chega ao roteador no IP público da porta redirecionada, o roteador reescreve o endereço de destino e encaminha o pacote para o dispositivo interno. Sem redirecionamento de porta, todo o tráfego de entrada não solicitado é descartado no roteador porque o roteador não tem mapeamento para onde enviá-lo. Para verificar se um redirecionamento de porta está funcionando, use um verificador de porta externo após configurar a regra, se a porta aparecer como aberta, o roteador está redirecionando corretamente para o serviço interno.

Por que posso verificar portas TCP mas não portas UDP?

A verificação de porta TCP funciona iniciando um handshake de conexão (SYN) e interpretando a resposta: SYN-ACK confirma aberta, RST confirma fechada, e nenhuma resposta indica filtrada. UDP não tem mecanismo de handshake, ele envia um datagrama e não recebe confirmação se a porta está aberta. Uma porta UDP aberta simplesmente aceita o pacote silenciosamente. A única maneira de detectar uma porta UDP fechada é quando o host retorna uma mensagem ICMP port-unreachable, mas muitos hosts suprimem essas mensagens, tornando UDP aberta e UDP filtrada indistinguíveis para um verificador remoto. Essa falta de confiabilidade torna a verificação de porta UDP externa impraticável para a maioria dos casos de uso.

Por que o verificador de porta mostra uma porta como aberta mas minha aplicação não consegue conectar?

O verificador de porta confirma que a porta TCP aceita conexões no nível de rede, mas problemas no nível de aplicação ainda podem impedir que seu software funcione. Causas comuns: o serviço requer TLS e seu cliente está conectando sem ele (ou vice-versa); o serviço requer um nome de host específico via SNI ou hospedagem virtual que difere do IP sendo testado; a aplicação tem listas de permissão de IP que bloqueiam o IP do seu cliente enquanto permitem o do verificador; ou o serviço aceita a conexão e depois a fecha imediatamente devido a falha de autenticação. Uma porta mostrando como aberta significa que o handshake TCP foi concluído, não garante que o serviço por trás dela aceitará sua solicitação específica.

Posso usar um verificador de porta para testar localhost ou um endereço IP privado?

Não. Um verificador de porta externo envia sondas de um servidor na internet pública e não consegue alcançar intervalos de endereços IP privados (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) ou o endereço de loopback (127.0.0.1). Esses endereços não são roteáveis na internet pública, pacotes enviados para eles são descartados no primeiro roteador. Para testar portas em uma máquina local ou rede privada, use ferramentas de linha de comando como nc (netcat), telnet ou nmap diretamente de dentro da mesma rede. Verificadores de porta externos são úteis apenas para testar serviços voltados para o público.

Quais portas devo fechar para melhorar a segurança do servidor?

O princípio é expor apenas as portas que seu serviço explicitamente requer e bloquear tudo o mais. Portas de alto risco que são frequentemente alvo de scanners automatizados incluem: 22 (SSH), restrinja a IPs de origem específicos ou mude para uma porta não padrão; 23 (Telnet), desabilite completamente, use SSH em vez disso; 3389 (RDP), nunca exponha publicamente sem uma VPN na frente; 3306 (MySQL), 5432 (PostgreSQL), 6379 (Redis), 27017 (MongoDB), portas de banco de dados nunca devem ser acessíveis publicamente. FTP (21) deve ser substituído por SFTP sobre SSH. Execute um port scan contra seu próprio servidor periodicamente para confirmar que nenhum serviço inesperado foi exposto.

O que é um handshake TCP de três vias?

O handshake TCP de três vias é a sequência de estabelecimento de conexão usada antes de qualquer dado ser trocado. Etapa 1: o cliente envia um pacote SYN (sincronizar) com um número de sequência escolhido aleatoriamente. Etapa 2: se a porta está aberta, o servidor responde com SYN-ACK, reconhecendo o número de sequência do cliente e enviando o seu próprio. Etapa 3: o cliente envia ACK para confirmar o recebimento, completando o handshake. Verificadores de porta usam esse mecanismo para determinar o estado da porta: um SYN-ACK na etapa 2 confirma que a porta está aberta. Uma resposta RST (reset) em vez de SYN-ACK significa que a porta está fechada. Nenhuma resposta dentro do período de timeout significa que a porta está filtrada por um firewall.

FREE · NO SIGN-UP · TCP FROM EXTERNAL NETWORK

Check if a port is open from anywhere on the internet.

Test any TCP port on an IPv4, IPv6 or hostname. Results come from an external server in <2 seconds, so you see what the rest of the internet sees.

~/portchecker — tcp-probe

prober online · eu-west-1

IP Address or Hostname

Port

Quick ports

Comma-separated, max 10 ports

Method TCP SYN probe Timeout 3.0s Prober eu-west-1 ⇧+Enter to check

The toolkit

Every network tool you will reach for.

Focused utilities for ports, IPs, DNS and email. All free, all running from external probes.

Verificador de Porta

Scan any TCP port on any host

Consulta DNS

Resolve domains to IP addresses

Consulta DNS Reversa

Turn IPs back into hostnames

Ferramenta de Ping

Test host reachability via ICMP

Teste de Velocidade

Measure download, upload, latency

Verificação de Proxy

Detect VPN or proxy usage

Verificador de Links

Verify if URLs are accessible

Verificador de Cabeçalhos HTTP

Inspect response headers

Qual é o Meu IP?

Show your current public IP

Calculadora de Sub-rede IP

Masks, ranges, CIDR math

Conversor de IPv4 para IPv6

Map to IPv4-mapped, 6to4 and compatible formats

Consulta de ASN

Find org, ISP and IP ranges by ASN

Verificador de Lista Negra de IP

Check if IP is spam-listed

Verificador de Compatibilidade IPv6

Check AAAA records and IPv6 reachability

Verificador de Registro SPF

Validate email sender policy

Validador DMARC

Parse policy, alignment and reporting config

Verificador de DKIM

Verify DKIM signatures

Analisador de Cabeçalho de Email

Trace email origin and routing

Três etapas

Enter. Probe. Read the result.

Every probe originates from our external server in eu-west-1, not your browser or local machine. This means results reflect real internet reachability - including what firewalls, ISP blocks, and NAT rules look like from outside your network.

01 / INPUT

Give it a target

IPv4, IPv6 or hostname, plus a port from 1 to 65535. Quick-select the common ones.

$ probe example.com 443

resolving A record...

02 / PROBE

TCP SYN from eu-west-1

Sent from our external server - never your local network. The target sees a real internet client.

46.4.81.12→target:443

[SYN] seq=0 win=64240

03 / RESULT

Three possible states

SYN-ACK means open. RST means closed. Silence means filtered.

● OPEN · SYN-ACK · 128ms

● CLOSED · RST · 94ms

● FILTERED · timeout

Reference

Referência de Portas Comuns

Ports assigned by IANA for standard protocols - the ones that come up most often in firewall configs, deployment checklists, and security audits.

Port	Nome	Descrição
80	HTTP	Primary port for unencrypted web browsing. Web servers typically use this port for standard HTTP connections. Visiting sites without encryption uses this port.
443	HTTPS	Encrypted web communication using TLS/SSL protocols. Required for secure e-commerce, login pages, and any site handling sensitive information.
22	SSH	Encrypted protocol for secure remote server access. Enables administrators to log in and execute commands on remote systems safely.
21	FTP	Legacy protocol for file transfers between systems. Lacks encryption, making it vulnerable. Prefer SFTP (port 22) or FTPS (port 990) for secure transfers.
25	SMTP	Standard port for email transmission between mail servers. Frequently blocked by ISPs to reduce spam. Contemporary email systems prefer ports 587 or 465.
53	DNS	Converts human-readable domain names to numeric IP addresses. Fundamental internet service. Typically uses UDP for standard queries, TCP for extended data transfers.
110	POP3	Email retrieval protocol that downloads messages to your device and deletes them from the server. For encrypted access, use POP3S on port 995.
143	IMAP	Email protocol that maintains messages on the server, enabling access from multiple devices. For encrypted connections, use IMAPS on port 993.
993	IMAPS	Encrypted IMAP implementation with SSL/TLS protection. The preferred method for accessing IMAP email in current email applications.
3389	RDP	Microsoft's protocol enabling remote desktop control of Windows machines. Requires robust password protection and ideally VPN access for security.
3306	MySQL	MySQL's default port for TCP connections. Bind to localhost or a private interface only - an open port 3306 on a public IP is a critical server misconfiguration.
5432	PostgreSQL	PostgreSQL's default port. Legitimate production setups do not expose port 5432 to the public internet. If it shows as open, investigate immediately.
6379	Redis	Redis in-memory database default port. Popular for caching and session management. Requires authentication and should remain private, not publicly exposed.
27017	MongoDB	MongoDB's default TCP port. Should never be publicly reachable - exposed MongoDB instances on port 27017 are a frequent source of data breaches on misconfigured servers.

Who uses it

Built for the people who live in a terminal.

From gamers troubleshooting port forwarding to sysadmins auditing firewall rules and developers confirming a deployment is reachable - port checking is one of those tools everyone in tech reaches for eventually.

Jogadores

Verificar acessibilidade do servidor de jogos by testing essential multiplayer ports like 25565 for Minecraft or 27015 for Counter-Strike. Port checking helps diagnose connection problems and configure redirecionamento de porta on routers.

Administradores de Rede

Auditoria portas abertas e fechadas to detect security risks, confirm firewall rules, and keep enterprise networks locked down. Regular checks also help validate políticas de segmentação e identificar rapidamente serviços expostos inesperadamente.

Desenvolvedores Web

Verificar acessibilidade de site e API by testing HTTP port 80 and HTTPS port 443 from external networks. Port checking confirms services are reachable during deployment and validates configurações de firewall para aplicações web.

Administradores de Sistema

Testar disponibilidade de porta para ferramentas de acesso remoto like SSH on port 22, RDP on port 3389, or FTP on port 21. Port checking ensures remote management protocols are properly configured and verifies políticas de segurança estão implementadas corretamente.

Usuários Domésticos

Verificar se provedores de serviço de internet estão bloqueando portas para hospedagem de sites pessoais, sistemas VoIP ou servidores de email. A verificação de portas ajuda a identificar restrições do provedor e orienta configuração do roteador para serviços de rede doméstica.

Equipes de Suporte de TI

Solucionar Problemas problemas de conectividade do cliente testando portas de servidor remoto em tempo real. A verificação de portas ajuda a identificar se os problemas são originados de bloqueio de portas, configurações incorretas de firewall ou interrupções de serviço, permitindo resolução mais rápida de problemas .

Why this one

What makes this port checker different.

No account, no install. Enter any IPv4, IPv6 or hostname and a port number - the probe runs from an external server and returns a real TCP result in under 2 seconds. Free, with no rate limits.

INSTANT

Super Rápido

TCP probes go out the moment you click. Results are back in under 2 seconds from our eu-west-1 prober - no queuing, no polling delays.

RELIABLE

Altamente Confiável

Every port check runs from a dedicated external server, not your browser. The result reflects actual internet reachability - the same SYN-ACK or RST any real client would receive.

FREE

Completamente Gratuito

Acessar todos os recursos sem registro, assinaturas ou taxas ocultas . Our port checker tool is free to use with no limits on the number of checks.

BATCH

Verificação de Porta em Lote

Verificar até 10 portas simultaneamente . A verificação em lote economiza tempo ao testar múltiplos serviços ou realizar auditorias abrangentes de rede.

QUICK

Seleção Rápida de Porta

Obter acesso com um clique a portas comuns like HTTP, HTTPS, SSH, FTP, and database ports. Quick selection eliminates manual entry errors.

IPV6

Suporte IPv4 e IPv6

Testar portas em endereços IPv4 e IPv6 , as well as domain names. Full protocol support ensures you can check connectivity for any network configuration.

Respostas diretas

Perguntas frequentes.

Como encontrar uma porta aberta no seu IP?

Primeiro confirme que o serviço está escutando em todas as interfaces de rede, não apenas no localhost (127.0.0.1). Em seguida, verifique se o firewall do seu host permite tráfego de entrada nessa porta e configure o encaminhamento de porta NAT no seu roteador, caso esteja atrás de um. Use nosso Verificador de Porta to test from an external network. A closed result means the host is actively rejecting connections, which usually points to a missing firewall rule or a service that is not running. A filtered result means a firewall is silently dropping packets before they reach the host.

Como usar um verificador de portas?

Enter a domain name or IP address and a port number between 1 and 65535, then click Check Port. The tool attempts a TCP connection from our server to your target, testing reachability from outside your own network. Open means the port accepts external connections. Closed means the host actively refused the connection with a TCP RST packet. Filtered means no response was received within the timeout period, which typically indicates a firewall is dropping packets silently.

O que faz um verificador de porta?

A port checker sends a TCP SYN packet to a specified host and port, then interprets the response. If the port is open, the host replies with TCP SYN-ACK, completing the connection handshake. If closed, the host returns a TCP RST packet, actively refusing the connection. If filtered, no reply arrives and the request times out, indicating a firewall is silently dropping packets.

Qual é o propósito do port knocking?

Port knocking hides a service port (typically SSH on port 22) by keeping it firewalled until a client sends connection attempts to a predefined sequence of ports in the correct order, for example 7000, 8000, 9000. The firewall detects this sequence and temporarily opens the target port for that specific IP address. Port knocking reduces exposure to automated scanners and brute-force attacks but is not a substitute for strong authentication.

How do I know if a port is unexpectedly open or blocked?

A port is problematic when it is in an unexpected state. An unexpectedly open port may indicate a misconfigured service, a rogue process, or a compromised host. An unexpectedly closed or filtered port on a required service means traffic is being blocked. The key distinction is between closed and filtered: a closed port sends a TCP RST response, meaning the host is reachable but the service is not running. A filtered port returns nothing, meaning a firewall is blocking access before the host can respond.

O que é TCP vs UDP?

TCP (Transmission Control Protocol) is connection-based and guarantees reliable, ordered delivery through a three-way handshake (SYN, SYN-ACK, ACK). Common TCP ports include 22 (SSH), 25 (SMTP), 80 (HTTP), 443 (HTTPS), and 3306 (MySQL). UDP (User Datagram Protocol) is connectionless and sends packets without confirming delivery, which reduces latency. Common UDP ports include 53 (DNS queries), 67 and 68 (DHCP), 123 (NTP), and game server ports such as 27015 (Counter-Strike). Most port checkers, including ours, test TCP connectivity.

Quais são os intervalos de números de porta?

Network ports are divided into three ranges defined by IANA. Well-known ports (0 to 1023) are assigned to standard protocols and include HTTP (80), HTTPS (443), SSH (22), FTP (21), SMTP (25), and DNS (53). Registered ports (1024 to 49151) are used by applications that registered with IANA, including MySQL (3306), PostgreSQL (5432), Redis (6379), and MongoDB (27017). Ephemeral or dynamic ports (49152 to 65535) are assigned temporarily by the operating system for outgoing connections.

Quais portas os provedores de internet geralmente bloqueiam?

Most residential ISPs block inbound connections on port 25 (SMTP), port 80 (HTTP), port 443 (HTTPS), and port 8080 to prevent customers from running public-facing servers on consumer connections. Port 25 is almost universally blocked on residential IPs to reduce spam origination. Some ISPs also block port 22 (SSH) inbound. Business-grade or static IP plans typically allow these ports.

What is port forwarding and how does it work?

Port forwarding is a NAT (Network Address Translation) rule configured on a router that redirects inbound traffic arriving on a specific external port to a private IP address and port inside the local network. When a packet arrives at your router's public IP on the forwarded port, the router rewrites the destination address and forwards the packet to the internal device. Without port forwarding, all unsolicited inbound traffic is dropped at the router because the router has no mapping for where to send it. To verify a port forward is working, use an external port checker after configuring the rule - if the port shows as open, the router is correctly forwarding to the internal service.

Why can I check TCP ports but not UDP ports?

TCP port checking works by initiating a connection handshake (SYN) and interpreting the response: SYN-ACK confirms open, RST confirms closed, and no reply indicates filtered. UDP has no handshake mechanism - it sends a datagram and receives no acknowledgment if the port is open. An open UDP port simply accepts the packet silently. The only way to detect a closed UDP port is when the host returns an ICMP port-unreachable message, but many hosts suppress these messages, making UDP open and UDP filtered indistinguishable to a remote prober. This unreliability makes external UDP port checking impractical for most use cases.

Why does the port checker show a port as open but my application cannot connect?

The port checker confirms the TCP port accepts connections at the network level, but application-layer issues can still prevent your software from working. Common causes: the service requires TLS and your client is connecting without it (or vice versa); the service requires a specific hostname via SNI or virtual hosting that differs from the IP being tested; the application has IP allowlisting that blocks your client's IP while permitting the prober's; or the service accepts the connection then immediately closes it due to authentication failure. A port showing as open means the TCP handshake completed - it does not guarantee the service behind it will accept your specific request.

Can I use a port checker to test localhost or a private IP address?

No. An external port checker sends probes from a server on the public internet and cannot reach private IP address ranges (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) or the loopback address (127.0.0.1). These addresses are not routable on the public internet - packets sent to them are dropped at the first router. To test ports on a local machine or private network, use command-line tools such as nc (netcat), telnet, or nmap directly from within the same network. External port checkers are only useful for testing public-facing services.

What ports should I close to improve server security?

The principle is to expose only the ports your service explicitly requires and firewall everything else. High-risk ports that are frequently targeted by automated scanners include: 22 (SSH) - restrict to specific source IPs or move to a non-standard port; 23 (Telnet) - disable entirely, use SSH instead; 3389 (RDP) - never expose publicly without a VPN in front; 3306 (MySQL), 5432 (PostgreSQL), 6379 (Redis), 27017 (MongoDB) - database ports should never be publicly accessible. FTP (21) should be replaced with SFTP over SSH. Run a port scan against your own server periodically to confirm no unexpected services have been exposed.

What is a TCP three-way handshake?

The TCP three-way handshake is the connection establishment sequence used before any data is exchanged. Step 1: the client sends a SYN (synchronize) packet with a randomly chosen sequence number. Step 2: if the port is open, the server responds with SYN-ACK, acknowledging the client's sequence number and sending its own. Step 3: the client sends ACK to confirm receipt, completing the handshake. Port checkers use this mechanism to determine port state: a SYN-ACK in step 2 confirms the port is open. A RST (reset) response instead of SYN-ACK means the port is closed. No response within the timeout period means the port is filtered by a firewall.